Quantum Cryptanalysis for Quantum Safe Society

• Project/Area Number: 23K21667
• Project/Area Number (Other): 21H03440 (2021-2023)
• Research Category: Grant-in-Aid for Scientific Research (B)
• Allocation Type: Multi-year Fund (2024); Single-year Grants (2021-2023)
• Section: 一般
• Review Section: Basic Section 60070:Information security-related
• Research Institution: University of Tsukuba
• Principal Investigator: 國廣 昇 筑波大学, システム情報系, 教授 (60345436)
• Co-Investigator(Kenkyū-buntansha): 高安 敦 東京大学, 大学院情報理工学系研究科, 准教授 (00808082)
• Project Period (FY): 2021-04-01 – 2026-03-31
• Project Status: Granted (Fiscal Year 2024)
• Budget Amount: ¥17,030,000 (Direct Cost: ¥13,100,000、Indirect Cost: ¥3,930,000); Fiscal Year 2025: ¥4,030,000 (Direct Cost: ¥3,100,000、Indirect Cost: ¥930,000); Fiscal Year 2024: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000); Fiscal Year 2023: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000); Fiscal Year 2022: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000); Fiscal Year 2021: ¥2,470,000 (Direct Cost: ¥1,900,000、Indirect Cost: ¥570,000)
• Keywords: 量子セキュリティ / 安全性評価

Outline of Research at the Start

大規模な量子計算機が実現した場合には，RSA暗号などの現在使われている暗号の多くは解読されることになる．その対策のため，耐量子暗号への移行をみすえた研究および標準化が進んでいる．従来暗号から耐量子暗号への移行を進める際に，従来暗号および耐量子暗号の両方の安全性評価を重点的に行う必要がある．両方の深い理解があって，はじめて暗号移行の適切なスケジュールの設定が可能となる．本研究課題では，量子計算機に対する従来暗号および耐量子暗号に対する安全性評価を行う．

Outline of Annual Research Achievements

本研究課題では，量子計算機実現後にも安全な社会実現のために，耐量子計算機暗号への移行に向けた量子安全性の解析を目指している．具体的には，以下の3つの課題：量子誤り訂正を組み込んだ素因数分解のリソース評価およびリソース削減，量子計算機実機を用いた素因数分解実験，サイドチャネル情報と量子計算機を組み合わせた耐量子計算機暗号に対する安全性評価，をターゲットとする．
2022年度は，新たな課題にチャレンジすることを主眼におき，量子計算機に対するRSA暗号の安全性評価およびRSA暗号やECDSAへのサイドチャネル攻撃に対する安全性評価を行った．
量子計算機に対するRSA暗号の安全性評価では，特に，量子フーリエ変換部に焦点をあてた．小さい角度の回転操作を省略することによる近似量子フーリエ変換が考えられている．近似により，効率化および実装の実現性が向上するが，その反面，成功確率が低下する．本研究では，成功確率を数値実験により確認し，2048ビットの合成数に対しては，d=6と設定すれば，9回の繰り返しで素因数分解に成功することを示している．さらに，制御ビット数tと近似パラメータdを用いて，攻撃の成功確率を陽に求めることに成功している．
ECDSAに対するサイドチャネル攻撃の手法を提案している．ECDSAに対するフーリエ変換に基づく攻撃では，誤りのある1ビットの漏洩のケースと誤りのない複数ビットの漏洩が研究されてきた．従来の方式を拡張することにより，誤りがある複数ビットの漏洩に有効なアルゴリズムを提案するとともに，攻撃の成功条件を示すことに成功している．
以上の成果は，国内シンポジウムで6件発表している．この成果を踏まえて，電子情報通信学会学会誌で，耐量子計算機暗号に関する解説を行っている．さらに，耐量子計算機への暗号移行および量子計算機に対する暗号の安全性に関する招待講演を2件行っている．

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

2022年度は，新たな課題にチャレンジすることを主眼におき，量子計算機に対するRSA暗号の安全性評価およびRSA暗号やECDSAへのサイドチャネル攻撃に対する安全性評価を行った．
量子計算機に対するRSA暗号の安全性評価では，特に，量子フーリエ変換部に焦点をあてた．量子フーリエ変換においては，小さい角度の回転操作を省略することによる近似量子フーリエ変換が考えられている．近似により，効率化および実装の実現性が向上するが，その反面，成功確率が低下する．近似精度を設定したときに，成功確率を数値実験により確認し，2048ビットの合成数に対しては，d=6と設定すれば，9回の繰り返しで素因数分解に成功することを示した．さらに，今後使用することが想定される4096ビットの合成数に対しても，d=6と設定すれば，170回の繰り返しで素因数分解に成功することが明らかにした．さらに，制御ビット数tと近似パラメータdを用いて，攻撃の成功確率を陽に求めることに成功している．
ECDSAに対するサイドチャネル攻撃の手法を提案している．ECDSAに対するフーリエ変換に基づく攻撃では，誤りのある1ビットの漏洩のケースと誤りのない複数ビットの漏洩が研究されてきた．従来の方式を拡張することにより，誤りがある複数ビットの漏洩に有効なアルゴリズムを提案するとともに，攻撃の成功条件を示すことに成功している．また，RSA暗号の鍵生成時の漏洩情報をもとにした攻撃に関して研究を進め，実際の完全鍵復元を行うアルゴリズムの評価を行っている．
以上の成果は，国内シンポジウムで6件発表している．この成果を踏まえて，電子情報通信学会学会誌で，耐量子計算機暗号に関する解説を行っている．さらに，耐量子計算機への暗号移行および量子計算機に対する暗号の安全性に関する招待講演を2件行っている．

Strategy for Future Research Activity

今後も継続的に，3つの研究課題を中心に研究を進める．特に，素因数分解を行う量子回路の効率化を目指す．素因数分解，離散対数問題を含む問題のクラスである隠れ部分群問題に対する調査を行うことにより，サイドチャネル攻撃への関連の検討を行う．
2022年度は，新たな課題にチャレンジしており，原著論文，国際会議での発表はなかったものの，萌芽的な研究成果は得られている．量子シミュレータを用いて，RSA暗号の量子計算機に対する安全性評価や，RSA暗号やECDSAに対するサイドチャネル攻撃に対する安全性評価を実施している．網羅的な解析が不十分であるため，さらに解析の精緻化をすすめるとともに，大規模な数値実験により有効性の検証を行う．査読付き国際会議への投稿を行うほか，さらなる効率化および性能向上を目指すとともに，現実に与えるインパクトに関して詳細に検討を進める．

Research Products

• [Journal Article] 量子計算機に対する暗号の安全性解析 (2022)
  • Author(s): 國廣昇
  • Journal Title: 電子情報通信学会誌 Volume: Vol. 105, No. 6 Pages: 516-521
• [Journal Article] 量子計算機時代に耐える暗号技術 (2022)
  • Author(s): 國廣昇
  • Journal Title: 岩波書店 科学 Volume: 2022年9月号 Pages: 767-767
• [Journal Article] Efficient Construction of a Control Modular Adder on a Carry-Lookahead Adder Using Relative-Phase Toffoli Gates (2022)
  • Author(s): Oonishi Kento, Tanaka Tomoki, Uno Shumpei, Satoh Takahiko, Van Meter Rodney, Kunihiro Noboru
  • Journal Title: IEEE Transactions on Quantum Engineering Volume: 3 Pages: 1-18
  • DOI: 10.1109/tqe.2021.3136195
  • Peer Reviewed / Open Access
• [Journal Article] 耐量子計算機暗号 (2022)
  • Author(s): 國廣昇
  • Journal Title: 数学セミナー2022年1月号特集「特集＝ 計算理論から量子計算理論へ」 Volume: 11 Pages: 38-42
• [Journal Article] Cryptanalysis of the RSA variant based on cubic Pell equation (2021)
  • Author(s): Zheng Mengce, Kunihiro Noboru, Yao Yuanzhi
  • Journal Title: Theoretical Computer Science Volume: 889 Pages: 135-144
  • DOI: 10.1016/j.tcs.2021.08.001
  • Peer Reviewed / Open Access / Int'l Joint Research
• [Presentation] 素因数分解問題に対するShorアルゴリズムの実装と量子計算機シミュレータを用いた実験 (2023)
  • Author(s): 山口純平，伊豆哲也，國廣昇
  • Organizer: SCIS2023
• [Presentation] 中国剰余定理と量子フーリエ加算を用いたショアの素因数分解回路の簡略化 (2023)
  • Author(s): 桂潔成，佐藤貴彦，田中智樹，大塩耕平，國廣 昇
  • Organizer: QS8
• [Presentation] エラー付きbinary GCD演算系列を用いたRSA秘密鍵の完全復元 (2023)
  • Author(s): 谷健太，國廣昇
  • Organizer: 電子情報通信学会情報セキュリティ研究会
• [Presentation] 複数ビットのnonce漏洩攻撃に対するECDSA署名数の評価 (2022)
  • Author(s): 大﨑俊輔，國廣昇
  • Organizer: CSS2022
• [Presentation] 近似量子フーリエ変換を用いた量子位相推定アルゴリズムの成功率評価 (2022)
  • Author(s): 桂潔成，國廣昇
  • Organizer: QIT47
• [Presentation] 効率的な近似量子フーリエ変換を利用したShorアルゴリズム (2022)
  • Author(s): 大西健斗，國廣昇
  • Organizer: QIT47
• [Presentation] 量子計算機と暗号：耐量子計算機暗号への移行 (2022)
  • Author(s): 國廣昇
  • Organizer: 横断型研究会「サイバーフィジカル時代の横断型情報セキュリティ」
  • Invited
• [Presentation] 隠れ部分群問題から見る素因数分解, 離散対数問題 (2022)
  • Author(s): 國廣昇
  • Organizer: 九州大IMI研究集会「耐量子計算機暗号と量子情報の数理」
  • Invited
• [Presentation] フーリエ解析ベース攻撃に対するECDSAのエラーレートに基づく解析 (2022)
  • Author(s): 大﨑俊輔，國廣昇
  • Organizer: 暗号とその応用シンポジウム（SCIS2022）
• [Presentation] サイドチャネル攻撃により得られるBinary GCD演算系列に対するエラーモデル (2022)
  • Author(s): 谷健太，國廣昇
  • Organizer: 暗号とその応用シンポジウム（SCIS2022）
• [Presentation] 耐量子計算機暗号の安全性 (2022)
  • Author(s): 國廣昇
  • Organizer: 電子情報通信学会総合大会
  • Invited
• [Presentation] エラー付きLS系列に対するエラー訂正アルゴリズム (2021)
  • Author(s): 谷健太，國廣昇
  • Organizer: コンピュータセキュリティシンポジウム（CSS2021）